Brisant! Jegliche 2FA mit Telefonnummern ist hackbar für unter 10k $!

In diesem Video wird gezeigt, wie leicht es ist sich in das Telefonverteilungsnetzwerk zu hacken und eure 2FA Codes zu kopieren oder ganz abzufangen.

Könnte einige hier interessieren, deren 2FA mehr als 10k$ schützt.

1 „Gefällt mir“

Telefon 2FA via SMS gilt schon längere Zeit als unsicher. Natürlich ist es besser, als gar keine 2FA, aber die Variante per App sollte eigentlich günstiger sein. Daher kann ich die Entscheidung für eine Telefonversion eigentlich nie nachvollziehen.

Vielleicht wird auf weniger Support Tickets spekuliert, da die meisten ihre Telefonnummer mitnehmen, aber nicht verstehen, dass sie die 2FA App backuppen müssen.

1 „Gefällt mir“

Wie geht das eine App zu backuppen?

Das ist sowas was ich an Microsoft noch besser finde als Android, ich kann einfach n Backup machen und hier und da rumliegen lassen.

Bei Android funktioniert das aber so nicht. Wie lässt sich das Problem lösen?

Authy macht zum Beispiel ein verschlüsseltes Backup. Auch kann ein guter Passwortmanager Codes generieren. Die gibt es als Cloud-Lösung, selbst gehosted oder komplett offline, je nach Geschmack.

Google Authenticator und Co. sind leider wirklich nicht so gut.

1 „Gefällt mir“

FOSS Alternative: https://github.com/beemdevelopment/Aegis

2 „Gefällt mir“

Ja, das Problem bei Android ist, dass man keine Rootrechte hat. Damit gehört einem das Telefon quasi nicht weil die Hersteller immer einen Generalzugang zum Telefon haben könnten. Er hat ja den Rootzugriff.

Ich finde es unbegreiflich, wie Google sich damit durchsetzen konnte. Während jeder Computer immer frei mit Rootzugang geliefert wird und jeder Benutzer damit Software installieren kann, wie er selber lustig ist (Microsoft, Adroid, Linux, MachOS…) geht das bei einem Handy nicht. Dort muss man erst sein eigenes Handy hacken um an solche Daten zu kommen.

Begründet wird das mit Schutz vor angriffen. Wenn keiner die Rootrechte hat (außer der Hersteller), dann kann auch keiner böse Sachen mit den Geräten machen. Das das in der Praxis nicht funktioniert zeigt ja, dass so ziemlich jedes Handy gerootet werden kann. Schadsoftware verhindert das auf jedenfall nicht aber schränkt die Freiheit der Nutzer dramatisch ein. Das geht sogar soweit, dass man die Garantie verliert, wenn man sein Telefon rootet. Undenkbar für teurere Geräte wie einem Laptop, da hat man im Normalfall genauso Rootrechte. Ich glaube das ist reine Bequemlichkeit: Security by Obscurity. Das ist nichts was Geräte nachhaltig sicherer macht.

Ich persönlich habe mich deswegen für ein Fairphone entschieden, das man wenigstens relativ leicht entsperren kann um es mit LineageOS zu betreiben. Damit hab ich erstmal keine Rootrechte auf dem Handy selber (sodass ich unterwegs auch nicht einfach angegriffen werden kann) aber kann über einem PC mit einer Rootshell darauf zugreifen und z.B. Backups machen.

Für so ein Setup muss man aber schon einiges beachten und sich anlesen. Das ist also leider nicht unbedingt für die Allgemeinheit geeignet und es ermöglicht eben wieder Angriffe, die vorher nicht möglich waren. Es ist und bleibt ein Katz und Maus spiel zwischen Angriff und Verteidigung, aber mir bietet dieses Setup immerhin die Möglichkeit auf das Betriebssystem zu schauen, wenn ich es will und mir z.B. eine Firewall zu installieren, die dann alle Werbungen blockt.

Alternativ gibt es Backupsoftware, die es erlaubt die Daten von Apps zu sichern und auf andere Telefone zu überspielen. Für 2Fa ist es aber meistens ratsam diese manuell zu übertragen, also bei jedem gespeicherten Service den 2fa zu löschen und neu auf dem anderem Telefon aufzusetzen.

2 „Gefällt mir“

Auf dem Iphone ist z.B. mit OTP Auth ein verschlüsseltes Backup der OTP´s möglich.

Das wird wohl eher damit zu tun haben dass man seine eigene Software verkaufen möchte. Ein offenes System erlaubt einem auch an die offiziellen Kanäle für Software vorbeizugehen. Also nicht nur kostenlose Apps, sondern auch Erweiterungen fürs System selbst. Schließlich will man ja auch neue Geräte, mit besserer Software, verkaufen. Leider ist das nicht nur bei Handys der Standard. Man siehe Fernseher, Spielekonsolen, etc.

So ganz stimmt das nicht. Fehlende Rootrechte sind schon ein sehr starker Schutz gegen Angriffe. Schließlich erlangt man diese Rechte nur durch Sicherheitslücken. Gäbe es diese nicht, würde sich ein Angriff auch kaum lohnen. Deshalb wird auch empfohlen, einen Computer bzw. Programme möglichst ohne Rootrechte zu verwenden. Nur ist es dort eben freiwillig, und nicht erzwungen.

1 „Gefällt mir“

Sicherheitslücken ist ein Weg um an die benötigten Berechtigungen zu belangen, ein anderer Weg hat aber der Hersteller mit der Zugangsmöglichkeit auch immer in der Hand und diese lässt sich ohne Rootrechte auch nicht (einfach) überwachen bzw. abstellen. Da müsste man sich schon dauerhaft zwischen die Kommunikation von Handy und Hersteller einhacken, aber dann wären wir wieder beim Hacken…

Der Hersteller kann mit dem Wissen um das Rootpasswort direkt auf dem Gerät etwas tun aber auch indirekt über Updates Einfluss nehmen, ganz ohne wissen des Benutzers (diese zweite Möglichkeit gilt aber natürlich für jede Software auch auf anderen Plattformen).

Also ja, natürlich wird es gleichermaßen dem Benutzer wie dem Angreifer durch fehlende Rootrechte der Zugang erschwert. Der Angreifer gewinnt aber mit einem Angriff auf die jeweilige Firma auch einen weiteren Angriffsvektor um nicht nur ein Handy zu hacken sondern gleich viele Andere auch. Dem gegenüber steht der Benutzer, der sich in so einem Fall nicht wehren kann sondern der Firma vertrauen muss, dass sie schon irgendwie Sicherheitskonzepte hat und nicht selber diese Rechte missbraucht.

Das ist wie die Debatte um das Messerverbot: Kriminelle interessiert es nicht, ob Messer jetzt durch 3 oder 4 Gesetze verboten sind aber die normalen Benutzer können jetzt nichteinmal einen Campingausflug mit dem Zug machen bzw. müssen auf ihr Survival/Kochmesser verzichten.

Das man keine Rootrechte am eigenen Gerät hat schützt nur vermeintlich die Menschen. Es macht Angriffe nur etwas schwieriger (Sicherheitslücken gibt es in jeder Software). Dem Gegenüber steht aber, dass das fehlen der Rootrechte die Menschen wehrlos gegen wirkliche Angriffe macht, wenn so ein Angriff mal passiert. Im schlimmsten Fall bekommen die Benutzer nichteinmal mit, dass sie angegriffen werden weil ihnen jegliche Möglichkeit der Kontrolle fehlt. Eine geringere Akkulaufzeit kann durchaus auch auf alte Akkus zurückzuführen sein und alle anderen Aktivitäten können mit Rootrechte (und notfalls mittels einem virtuellem Zweitbetriebssystem) vor dem Benutzer 100% versteckt werden.

Was damit also auf einer Metaebene passiert ist, dass die Angriffskosten zwar erhöht bzw. erschwert werden aber dem Verteidiger seine Verteidigung damit genommen wird. Ein Angreifer, der diese höhere Hürde also erklimmen kann, dem steht dann der Verteidiger wehrlos gegenüber. Wir sollten also abwägen: ist diese leichte Sicherheitserhöhung gerechtfertigt gegenüber der verringerten Verteidigungsmöglichkeit?

Ist es also nicht sinnvoller, wenn die Benutzer das überwachen können anstatt sie für blöd und inkompetent zu halten? Und nur weil man Rootrechte hat bedeutet das nicht, dass der Benutzer alle Programme gleich mit Rootrechten ausführen muss. So funktioniert ja nichteinmal mehr Windows sondern man erhält mit einer Zugangssicherung nur bei Bedarf diese Rechte.

Der Einwand, dass die Software ja verkauft werden soll ist aber definitiv berechtigt und ein weiterer Effekt dafür, warum es sich in diese Richtung entwickelt hat obwohl der Computermarkt ja gezeigt hat, dass es auch anders (freiheitlicher) geht.

Ich glaube das es sich hierbei um eine Commonsense Entscheidung handelt.
Das Gro der Menschen möchte sich damit schlicht und ergreifend nicht beschäftigen.

Ich wüsste jetzt ehrlich gesagt auch nicht was ich mit einem Handy mit Root Zugriff anders machen sollte / würde.

1 „Gefällt mir“

Schon alleine das ich nicht alles löschen darf.
Ich habe bestimmt 5 Apps die nicht zu löschen sind. Welch eine Arroganz dem Nutzer dies zu verbieten. Du darfst die App nicht löschen höhöhööö.

1 „Gefällt mir“

Erinnert mich daran als ich 8 war und einfach mal C: gelöscht hatte bei meinem ersten Rechner.

Danach war mir klar, warum ich das nicht löschen sollte.

Wäre doch nur jeder Mensch so schlau, an einer virtuellen Maschine zu testen, was man alles weghauen kann bis nix mehr geht.

Dann könnten wir wenigstens volle Kontrolle über unser digitales System haben.
:blush:

1 „Gefällt mir“

Ich erinnere mich noch als ich unter Windows 95 damals den explorer gelöscht habe weil er mir nutzlos erschien. :joy: Mein Dad war ziemlich pissed…

Was ich damit sagen will ist das es Anwendungen gibt die im System verwurzelt sind und essentiell sind. Ein Unternehmen wie Apple erspart sich dadurch auch den Support Aufwand wenn Nutzer eben NICHT in der Lage sind Anwendungen zu löschen die durch Ihr fehlen Seiteneffekte auslösen können. Das hat mit Arroganz nicht viel zu tun.

Es ist einfach unmöglich > 1,4 Milliarden Systeme zu Supporten bei denen der Nutzer in der Lage ist diese zu zerstören.

Ich bin zum Beispiel ganz froh das meine technisch nicht versierte Mutter NICHT in der Lage ist ausersehen die Telefon App zu löschen.

Deswegen nur noch mal es ist Commonsense und wenn du wirklich ein offenen System willst, schnapp dir ein Android und pack dir ein eigenes Image drauf :)

2 „Gefällt mir“